그렇다면 보안 업계가 최근 주목하는 신기술은 무엇일까? 많은 이들이 AI라고 생각하지만, AI 만큼이나 보안 업계에서 주목하는 기술은 따로 있다. 양자컴퓨팅이다. 다소 낯선 기술이지만, 이미 많은 보안 솔루션 업체가 관련 수요를 지원하기 위해 양자컴퓨팅 관련 보안 서비스, 정확히 말해 포스트 양자 암호화(Post Quantum Cryptography, PQC)를 내놓고 있다. 이러한 시장의 흐름을 더 자세히 들여다보기 위해 프랑스 보안 기업 탈레스의 전문가를 만나 PQC의 현주소와 미래 전망에 대해 이야기를 나눠보았다.
비대칭 암호화로 부족한 시대 온다··· PQC 기술을 준비해야 하는 이유
PQC의 중요성을 이해하기 위해서는 먼저 기존 암호화 기술의 기반을 알아야 한다. 공공, 군사, 금융 등 높은 수준의 보안이 요구되는 분야에서는 데이터 보호를 위해 RSA, ECC와 같은 비대칭 암호화 알고리즘을 활용한다. 전자 서명, SSL 통신, 비공개 메시지 전송 등에 이러한 비대칭 암호화 기술이 포함돼 있다.
비대칭 암호화가 높은 보안성을 제공하는 배경에는 고도의 수학적 문제를 기반으로 한다는 점이 있다. 암호 해독을 위해서는 매우 복잡한 수학 문제를 풀어야 하는데, 일반 컴퓨터로는 사실상 해독이 불가능한 수준의 연산량이 요구된다.
PQC의 필요성은 바로 이 부분에 생긴다. 양자컴퓨터는 병렬 처리 능력과 양자 얽힘을 이용해 기존 컴퓨터와는 전혀 다른 방식으로 계산을 수행한다. 현재의 암호화 알고리즘이 의존하는 수학적 문제를 빠르게 풀 수 있다는 것을 의미한다. 결과적으로 기존 알고리즘이 양자 환경에서 더 이상 안전하지 않을 가능성이 높다.
탈레스의 중화권·한국 세일즈 총괄 웨인 후이는 “양자컴퓨터가 상용화되면 현재 사용 중인 비대칭 암호화 기술 대부분이 빠른 시간 안에 무력화될 수 있다”라며 “현재 네트워크상에서 전송되는 암호화된 데이터를 저장해두었다가 가까운 미래에 양자컴퓨터로 해독하는 경우도 생길 것”이라고 설명했다.
후이에 따르면, 보안에 민감한 전 세계 주요 은행들이 이미 PQC를 내부 환경에 적용하기 위한 TF 조직을 구성하고 있다. 제조 업계에서도 PQC 기반 디지털 서명 도입을 준비하고 있는 상황이다. 특히 디지털 서명은 법적 문제를 야기할 수 있다는 점에서 주목해야 한다. 예를 들어 5년 유효 기간의 디지털 서명된 계약서의 경우 양자컴퓨터 기술이 발전하는 동안 누군가 위조된 디지털 서명으로 계약 조건을 변경할 수 있다. 이 경우 어떤 계약서가 진본인지 구별할 수 없는 상황이 발생할 수 있다.
PQC 도입 위한 3대 핵심요소 ‘알고리즘·키 분배·난수 생성’
탈레스 외에도 빅테크를 비롯한 많은 보안 기업이 최근 PQC 관련 기술을 앞다투어 내놓고 있다. 이런 상황에서 기업은 어떤 기준을 가지고 PQC 기술을 평가해야 할까? 후이는 PQC 기술 도입 시 알고리즘 선택, 양자키 분배, 양자 난수 생성이라는 요소를 중심으로 검토해야 한다고 제안했다.
첫째로, 적절한 PQC 알고리즘을 선택해야 한다. 자사 환경을 감안해 알고리즘을 선택해야 하는데, 후이는 미국 국립표준기술연구소(NIST)와 같은 전문기관의 연구 결과를 참고하는 것이 좋다고 설명했다.
다만 현재는 NIST 표준이 주류이지만 향후 국가별 표준이 새로 나올 수 있다는 점도 감안해야 한다. 후이는 “최근까지는 NIST가 국제 표준을 주도해왔으나, 각국이 보안상의 이유로 독자적인 표준을 개발하고 이를 빠르게 공유하지 않을 수 있다”라며 “한국 역시 자체 PQC 표준을 개발할 가능성이 높으며, 그런 면에서 표준화와 상호운용성 문제 해결이 PQC 업계의 주요 과제가 될 것이다”고 설명했다.
두 번째로 양자키 분배(Quantum Key Distribution, QKD) 시스템을 잘 살펴봐야 한다. 아무리 강력한 암호화 알고리즘을 사용하더라도, 키 분배 과정이 취약하다면 전체 시스템의 안전성이 위협받을 수 있다. QKD는 양자기술을 사용하는 사이버보안의 핵심 요소로서, 암호키를 안전하게 전달하고 관리하는 역할을 담당한다.
세 번째, 양자 난수 생성(Quantum Random Key Generation, QRNG) 기술도 면밀히 검토해야 한다. 암호화 과정에서 필요한 시드 파일을 생성할 때 QRNG가 활용되는데, 이는 암호화 시스템 전반의 안전성을 보장하는 핵심 요소다. 높은 수준의 무작위성을 가진 난수를 생성함으로써, 암호화 시스템의 예측 불가능성과 보안성을 한층 강화할 수 있다.
후이는 탈레스가 이러한 세 가지 요소를 모두 포괄하는 종합적인 솔루션을 제공하고 있다고 강조했다. 그는 “경쟁사 대부분은 특정 영역에만 특화된 솔루션을 제공하지만, 탈레스는 데이터베이스 암호화, 파일 암호화 등 다양한 보안 솔루션을 보유하고 있다”라며 “고객 입장에서 필요한 보안 기능 대부분을 탈레스 하나로 얻을 수 있다”라고 설명했다.
“양자 컴퓨팅 시대, 암호 민첩성이 해법”
후이는 포스트 PQC 도입이 많은 기업에게 핵심 과제가 될 것이라고 예측했다. 특히 PQC는 특정 산업에 국한되지 않고 모든 분야가 주목해야 할 핵심 기술이라는 것이다. 그는 “많은 기업이 PQC를 지나치게 복잡한 기술로 인식하는 경향이 있는데, 기존 보안 체계의 자연스러운 진화 과정으로 이해하면 된다”라고 설명했다.
후이는 “양자 컴퓨팅은 혁신적인 기술이지만 동시에 심각한 보안 위험을 수반한다”라며 “완벽한 보안 솔루션은 없으나, 신규 보안 위협이나 취약점 발견 시 신속하게 다른 암호화 알고리즘으로 전환할 수 있는 ‘암호 민첩성’을 갖춘 시스템을 구축하면서 새로운 위협에 효과적으로 대응할 수 있다”라고 강조했다. 이어 “탈레스는 기업들이 양자 컴퓨팅으로 인한 현재와 미래의 보안 위험에 대응할 수 있도록 양자 내성 알고리즘을 포함한 보안 알고리즘을 유연하게 구현하도록 지원하고 있다”라고 설명했다.
아울러 후이는 PQC 도입 검토는 빠를수록 좋다고 조언했다. 그는 “포스트 양자 시대가 몇 년 후에 도래할 것으로 예상되는 만큼, 지금부터 준비하지 않으면 나중에 막대한 비용이 발생할 수 있다”라며 “암호 민첩성은 새로운 암호화 위협에 직면했을 때 기업이 신속하게 대응할 수 있는 능력을 제공한다”라고 설명했다.
암호 민첩성의 구체적인 이점에 대해 그는 “암호 민첩성이 갖춰진 기업은 보안 사고에 즉각 대응할 수 있고, 인증서와 키를 체계적으로 관리할 수 있다”라며 “키 사용 현황의 실시간 모니터링, 원격 업데이트, PKI 시스템의 원활한 전환 등이 가능하다”라고 설명했다.
마지막으로 후이는 “이러한 포괄적인 준비를 통해 기업은 포스트 양자 시대의 보안 위협에 탄력적이고 효과적으로 대응할 수 있는 기반을 마련할 수 있다”라고 설명했다. 그는 이어 “PQC는 선택이 아닌 필수다. 지금부터 준비하지 않으면 미래에 막대한 피해를 입을 수 있다”라며 “모든 기업은 데이터베이스, 파일 서버, 직원들의 로그인 시스템, 공급업체나 고객과의 데이터 전송 등 자사 IT 환경에서 어떤 부분이 위험에 노출되어 있는지 파악하고, PQC를 어떻게 적용할 수 있을지 검토해야 한다”라고 조언했다.
[email protected]
Read More from This Article: 인터뷰 | 탈레스 웨이 후이 세일즈 총괄 “현 암호체계 흔드는 양자컴퓨터, 보안업계 패러다임 전환 시급”
Source: News